Il Regolamento UE 2016/679 – cd. GDPR, entrato in vigore il 25 maggio 2018, ha introdotto, secondo le disposizioni di cui all’articolo 35, la “valutazione d’impatto sulla protezione dei dati” o “Data Protection Impact Assesment”, brevemente DPIA.

La DPIA è un processo inteso a garantire e dimostrare la conformità al Regolamento Europeo e volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a ridurlo. La DPIA va intesa come uno strumento essenziale e fondamentale per tutti i titolari e responsabili del trattamento al fine di rispettare il principio dell’Accountability (responsabilizzazione). La procedura è prevista dall’articolo 35 del GDPR che chiarisce: “quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”. Ogni qual volta un titolare del trattamento non è in grado di trovare misure sufficienti per mitigare i rischi ad un livello accettabile, è necessario consultare l’Autorità di Controllo.

Dunque possiamo affermare che la DPIA è uno strumento importante in termini di responsabilizzazione (Accountability) in quanto aiuta il titolare del trattamento non soltanto a rispettare il GDPR, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento e a mitigare i rischi.

Quando è obbligatoria la DPIA? Le linee guida del WP-29 dell'intestazione

L’articolo 35 del GDPR prevede che la DPIA sia obbligatoria quando un trattamento di dati personali “presenti un rischio elevato per i diritti e le libertà delle persone fisiche“. A tal proposito, il gruppo di lavoro ex articolo 29 (gruppo di lavoro a cui fanno parte tutte le Authority Privacy di ciascun Stato Membro dell’Unione Europea – WP-29) ha pubblicato un documento contenente le linee guida per lo svolgimento della DPIA chiarendo tale concetto e i casi di obbligatorietà. In particolare, il riferimento a “diritti e libertà” degli interessati riguarda principalmente i diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, di pensiero, di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione. Ad ogni modo si precisa che, qualora dovesse risultare poco chiaro se una situazione richieda o meno una DPIA, la raccomandazione del WP-29 è quella di effettuarla comunque, in quanto risulta essere uno strumento utile per i titolari del trattamento al fine di rispettare la legge in materia di protezione dei dati.

Obbligatorio-DPIA

Per quanto riguarda i trattamenti che richiedono una valutazione d’impatto obbligatoria, in virtù del loro rischio elevato, si devono considerare i seguenti 9 criteri:

1.     Valutazione o assegnazione di un punteggio, compresa la profilazione, in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, il comportamento o l’affidabilità;

2.     Processo decisionale automatizzato che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni) o che incidono significativamente su dette persone fisiche;

3.     Monitoraggio sistematico, ossia trattamento utilizzato per monitorare, osservare o controllare gli interessati (videosorveglianza), ivi inclusi i dati raccolti tramite reti o situazioni dove l’interessato non sa di essere monitorato;

4.     Trattamento di dati sensibili, giudiziari o di natura estremamente personale, come le informazioni sulle opinioni politiche nonché dati relativi a condanne penali o reati o relativi a vita privata la cui violazione può comportare un grave impatto sulla vita quotidiana dell’interessato;

5.     Trattamento di dati su larga scala, considerando il numero di soggetti interessati al trattamento, il volume dei dati, la durata e la portata geografica dell’attività;

6.     Combinazione o raffronto di insieme di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti secondo modalità che esulano dal consenso iniziale dell’interessato;

7.     Dati relativi a interessati vulnerabili, ossia dati relativi a minori, anziani o persone affette da patologie psichiatriche;

8.     Trattamento di dati con l’uso o l’applicazione di nuove tecnologie, quali l’utilizzo dell’impronta digitale e del riconoscimento facciale per il controllo degli accessi fisici, dispositivi IoT, etc.;

9.     Trattamenti che, in sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Il WP29 ritiene che maggiore è il numero dei criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà dell’interessato e, di conseguenza, che sia necessario effettuare una DPIA. Per contro, un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerato un trattamento tale da non “presentare un rischio elevato”. In questo caso, il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d’impatto sulla protezione dei dati. Inoltre, secondo il principio di Accountability, il titolare del trattamento deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità che includa, tra l’altro, anche le finalità del trattamento, una descrizione delle categorie di dati e di destinatari e una descrizione generale delle misure di sicurezza tecniche e organizzative (come abbiamo approfondito nell’articolo riguardante il Registro Trattamenti).

Per contro, la DPIA non è necessaria per i trattamenti che:

·       Non presentano un rischio elevato per i diritti e le libertà delle persone fisiche;

·       Hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una valutazione d’impatto;

·       Sono stati già sottoposti a verifica da parte dell’Autorità di Controllo prima del 25 maggio 2018 e le cui condizioni (oggetto, finalità) non hanno subito modifiche;

·       Sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;

Fanno riferimento a norme e regolamenti, UE o di uno Stato membro, per la cui definizione è stata già condotta una valutazione. 

In quale momento va effettuata una DPIA? Il processo per una corretta valutazione d’impatto

La responsabilità della DPIA spetta al titolare del trattamento dei dati, anche se la conduzione materiale della valutazione di impatto può essere affidata ad un altro soggetto, interno o esterno all’azienda. La valutazione va effettuata sempre prima del trattamento nella fase di progettazione e, soprattutto, va riesaminata continuamente e rivalutata a intervalli regolari. L’aggiornamento di tale valutazione è indispensabile in quanto la DPIA è un processo continuo, soprattutto quando un trattamento è dinamico ed è soggetto a variazioni continue.

Il regolamento definisce le caratteristiche minime di una DPIA:

  • una descrizione dei trattamenti previsti e delle finalità;
  • una valutazione della necessità e proporzionalità dei trattamenti;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;

le misure previste per affrontare i rischi e dimostrare la conformità al regolamento.

Valutazione-rischi-DPIA

Tuttavia, indipendentemente dalla sua forma, la valutazione deve essere una vera e propria valutazione dei rischi che consenta al titolare del trattamento di adottare misure specifiche per affrontarli e, soprattutto, mitigarli.

Il processo per effettuare una corretta DPIA, deve seguire questi passaggi:

  • Descrizione del trattamento previsto;
  • Valutazione di necessità e proporzionalità;
  • Misure previste per dimostrarne l’osservanza;
  • Valutazione dei rischi per i diritti e le libertà delle persone fisiche;
  • Misure previste per affrontare i rischi connessi;
  • Documentazione;
  • Monitoraggio e revisione.

Se al termine della valutazione emerge un rischio residuale elevato, il titolare del trattamento è tenuto a consultare il Garante prima di procedere con il trattamento stesso. Il documento finale è di esclusiva proprietà del titolare che è tenuto a condividerlo col Garante in caso di richiesta. Inoltre, tale documento può diventare un ottimo strumento per incrementare il rapporto di fiducia con i propri clienti se presentato loro in maniera sintetica e semplificata, per esempio allegandolo a determinati contratti o inserendolo nelle informative.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *